电机控制器功能安全架构

1

安全目标及安全完整性等级ASIL

控制系统的功能是“提供所需要的转矩”，对其进行危害与可操作性分析（HOZAP）的关键词可定义为“转矩”，HOZAP 分析的目的是用于识别控制系统功能的失效。图示出对于电机驱动控制器的HOZAP 分析。

图1 电机驱动控制器转矩HOZAP 分析

HARA 分析是功能安全开发中非常重要而且复杂的工作，本文主要对分析方法进行研究，所做的HARA分析是基于“非预期的转矩增加”几个典型场景，而最终的ASIL 等级确定需要综合考虑所有场景。

图2 “非预期的转矩增加”典型场景的HARA 分析

2

微处理器分析

目前符合ASIL D 等级的微处理器主要有单核锁步型（如TI 公司的TMS570 系列芯片）和多核锁步型（如NXP 公司的MPC5746R 系列芯片，Infineon 公司的TC27x 系列芯片等）两种。针对于不同数量的内核，功能安全架构的实现方式和难度也各异。

3

EGAS 架构

电机驱动控制器EGAS 架构主要设计理念是将控制系统进行分层设计，即分为功能层（Level 1）、功能监控层（Level 2）和处理器监控层（Level 3），如图所示。

图3 EGAS 架构图

功能层（Level 1）主要实现控制系统的基本功能，对电机驱动控制器而言，即执行转矩的输出；此外，其还包含了组件监控、输入/ 输出变量诊断以及当检测到故障后执行系统的故障响应功能。功能监控层（Level 2）主要实现对Level 1 的监控，例如，通过监控计算转矩的实际输出值判断Level 1 软件是否正确等，而一旦诊断出故障，将触发系统的故障响应，并由Level 1 或Level 2 执行。处理器监控层（Level 3）主要是通过问答的形式监控Level 2 处理器是否出现故障，需要由一个独立的ASIC 或微处理器实现；当出现故障后，触发系统的故障响应，并独立于Level 1 去执行。因此，可以将Level 1 定义为基本功能（QM），而Level 2 和Level 3 定义为安全功能（ASIL）。

电机驱动控制器的安全目标是“避免非预期的转矩增加”，将其分解到2.1 节EGAS 架构中的Level 2 层，对应的安全目标为“实现转矩的正确监控”。因此，要实现电机驱动控制器的功能安全，需要对输出转矩进行实时监控。

4

不同安全架构分析

4.1 单核锁步微处理器的安全架构实现

单核锁步微处理器的系统安全架构如图所示。图中虚线框内的部分为实现该安全目标所需要考虑的架构部分。其中，蓝色阴影部分的为通过ASIL 分解后需要按照ASIL C（C）进行开发的模块，其他为按照QM（C）进行开发的模块。

图4 单核微处理器的系统安全架构

4.2 多核锁步微处理器的安全架构实现

以多核锁步处理器MPC5746R 和TC27x 为例进行分析，其中，MPC5746R 为双核芯片（1 个普通核，1个带锁步核的安全核），TC27x 为三核芯片（1 个普通核，2 个带锁步核的安全核）。采用双核微处理器与三核微处理器的电机驱动控制器的系统安全架构实现方式。

图5 双核微处理器的系统安全架构

图6 三核微处理器的系统安全架构

4.3 双芯片微处理器的安全架构实现

双芯片微处理器的安全架构如图所示。该架构在原理上与多核架构类似，但它实现了芯片硬件资源与软件代码的完全独立，对于EGAS 架构的实现更加简单可靠，且在硬件结构方面较前两种架构略显复杂。此外，该架构还可以实现安全产品与非安全产品的标准化设计：对于安全产品，其系统架构与图所示一致；而对于非安全产品，只需要去掉图13 中“电源+ 时窗狗”与“安全芯片”模块即可，无需重新对软硬件进行开发。

图7 双芯片微处理器的系统安全架构